Skip to main content
BlueXP setup and administration
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

從BlueXP在Azure中建立連接器

貢獻者
PDF

Connector 是在雲端網路或內部部署網路中執行的 NetApp 軟體、可讓您使用所有 BlueXP  功能和服務。其中一個可用的安裝選項是直接從 BlueXP  在 Azure 中建立 Connector 。若要從 BlueXP 在 Azure 中建立 Connector 、您必須設定網路、準備 Azure 權限、然後建立 Connector 。

開始之前

步驟 1 :設定網路

請確定您計畫安裝 Connector 的網路位置支援下列需求。滿足這些需求後、 Connector 便能在混合雲環境中管理資源和程序。

Azure地區

如果您使用 Cloud Volumes ONTAP 、 Connector 應部署在與其管理的 Cloud Volumes ONTAP 系統所在的同一個 Azure 區域、或部署在中 "Azure區域配對" 適用於整個系統。Cloud Volumes ONTAP這項需求可確保Cloud Volumes ONTAP Azure Private Link連線可用於連接至相關的儲存帳戶。

"瞭Cloud Volumes ONTAP 解如何使用Azure Private Link"

vnet 和子網路

建立 Connector 時、您需要指定 Connector 應位於的 vnet 和子網路。

連線至目標網路

Connector 需要網路連線、才能連線到您計畫建立和管理工作環境的位置。例如、您計畫在內部部署環境中建立 Cloud Volumes ONTAP 系統或儲存系統的網路。

傳出網際網路存取

您部署 Connector 的網路位置必須具有傳出網際網路連線、才能連絡特定端點。

已從 Connector 聯絡的端點

Connector 需要外傳網際網路存取才能連絡下列端點、以便管理公有雲環境中的資源和程序、以進行日常營運。

請注意、下列端點均為所有的 CNAME 項目。

端點 目的

https://management.azure.com
https://login.microsoftonline.com
https://blob.core.windows.net
https://core.windows.net

管理Azure公共區域的資源。

https://management.chinacloudapi.cn
https://login.chinacloudapi.cn
https://blob.core.chinacloudapi.cn
https://core.chinacloudapi.cn

管理Azure中國地區的資源。

https://support.netapp.com
https://mysupport.netapp.com

以取得授權資訊、並將AutoSupport 資訊傳送給NetApp支援部門。

https://*.api.bluexp.netapp.com

https://api.bluexp.netapp.com

https://*.cloudmanager.cloud.netapp.com

https://cloudmanager.cloud.netapp.com

https://netapp-cloud-account.auth0.com

在BlueXP中提供SaaS功能與服務。

請注意、 Connector 目前正在聯絡「 cloudmanager.cloud.netapp.com" 」、但在即將推出的版本中、會開始聯絡「 api.bluexp.netapp.com" 」。

https://*.blob.core.windows.net

https://cloudmanagerinfraprod.azurecr.io

升級Connector及其Docker元件。
從 BlueXP 主控台連絡的端點

當您使用透過 SaaS 層提供的 BlueXP 網路型主控台時、它會與多個端點聯絡、以完成資料管理工作。這包括透過 BlueXP 主控台聯絡以部署 Connector 的端點。

"檢視從 BlueXP 主控台連絡的端點清單"

Proxy伺服器

如果您的企業需要為所有傳出的網際網路流量部署 Proxy 伺服器、請取得下列關於 HTTP 或 HTTPS Proxy 的資訊。您必須在安裝期間提供此資訊。請注意、 BlueXP 不支援透明 Proxy 伺服器。

  • IP 位址

  • 認證資料

  • HTTPS憑證

連接埠

除非您啟動連接器、或使用連接器做為 Proxy 、將 AutoSupport 訊息從 Cloud Volumes ONTAP 傳送至 NetApp 支援、否則不會有傳入的流量傳入連接器。

  • HTTP(80)和HTTPS(443)可存取本機UI、在極少數情況下使用。

  • 只有在需要連線至主機進行疑難排解時、才需要SSH(22)。

  • 如果您在無法使用輸出網際網路連線的子網路中部署 Cloud Volumes ONTAP 系統、則需要透過連接埠 3128 進行輸入連線。

    如果 Cloud Volumes ONTAP 系統沒有輸出網際網路連線來傳送 AutoSupport 訊息、 BlueXP 會自動將這些系統設定為使用 Connector 隨附的 Proxy 伺服器。唯一的需求是確保連接器的安全群組允許透過連接埠3128進行傳入連線。部署Connector之後、您需要開啟此連接埠。

啟用 NTP

如果您打算使用 BlueXP 分類來掃描公司資料來源、則應該在 BlueXP Connector 系統和 BlueXP 分類系統上啟用網路時間傳輸協定( NTP )服務、以便在系統之間同步時間。 "深入瞭解 BlueXP 分類"

建立 Connector 之後、您必須實作此網路需求。

步驟 2 :建立自訂角色

建立可指派給 Azure 帳戶或 Microsoft Entra 服務主體的 Azure 自訂角色。BlueXP 會驗證 Azure 、並使用這些權限代表您建立 Connector 執行個體。

請注意、您可以使用 Azure 入口網站、 Azure PowerShell 、 Azure CLI 或 REST API 來建立 Azure 自訂角色。下列步驟說明如何使用 Azure CLI 建立角色。如果您想要使用不同的方法、請參閱 "Azure文件"

步驟

  1. 複製Azure中新自訂角色所需的權限、並將其儲存在Json檔案中。

    註 此自訂角色僅包含從 BlueXP 在 Azure 中啟動 Connector VM 所需的權限。請勿在其他情況下使用此原則。當 BlueXP 建立 Connector 時、它會將一組新的權限套用至 Connector VM 、讓 Connector 能夠管理 Azure 資源。 
    {
    "Name": "Azure SetupAsService",
    "Actions": [
        "Microsoft.Compute/disks/delete",
        "Microsoft.Compute/disks/read",
        "Microsoft.Compute/disks/write",
        "Microsoft.Compute/locations/operations/read",
        "Microsoft.Compute/operations/read",
        "Microsoft.Compute/virtualMachines/instanceView/read",
        "Microsoft.Compute/virtualMachines/read",
        "Microsoft.Compute/virtualMachines/write",
        "Microsoft.Compute/virtualMachines/delete",
        "Microsoft.Compute/virtualMachines/extensions/write",
        "Microsoft.Compute/virtualMachines/extensions/read",
        "Microsoft.Compute/availabilitySets/read",
        "Microsoft.Network/locations/operationResults/read",
        "Microsoft.Network/locations/operations/read",
        "Microsoft.Network/networkInterfaces/join/action",
        "Microsoft.Network/networkInterfaces/read",
        "Microsoft.Network/networkInterfaces/write",
        "Microsoft.Network/networkInterfaces/delete",
        "Microsoft.Network/networkSecurityGroups/join/action",
        "Microsoft.Network/networkSecurityGroups/read",
        "Microsoft.Network/networkSecurityGroups/write",
        "Microsoft.Network/virtualNetworks/checkIpAddressAvailability/read",
        "Microsoft.Network/virtualNetworks/read",
        "Microsoft.Network/virtualNetworks/subnets/join/action",
        "Microsoft.Network/virtualNetworks/subnets/read",
        "Microsoft.Network/virtualNetworks/subnets/virtualMachines/read",
        "Microsoft.Network/virtualNetworks/virtualMachines/read",
        "Microsoft.Network/publicIPAddresses/write",
        "Microsoft.Network/publicIPAddresses/read",
        "Microsoft.Network/publicIPAddresses/delete",
        "Microsoft.Network/networkSecurityGroups/securityRules/read",
        "Microsoft.Network/networkSecurityGroups/securityRules/write",
        "Microsoft.Network/networkSecurityGroups/securityRules/delete",
        "Microsoft.Network/publicIPAddresses/join/action",
        "Microsoft.Network/locations/virtualNetworkAvailableEndpointServices/read",
        "Microsoft.Network/networkInterfaces/ipConfigurations/read",
        "Microsoft.Resources/deployments/operations/read",
        "Microsoft.Resources/deployments/read",
        "Microsoft.Resources/deployments/delete",
        "Microsoft.Resources/deployments/cancel/action",
        "Microsoft.Resources/deployments/validate/action",
        "Microsoft.Resources/resources/read",
        "Microsoft.Resources/subscriptions/operationresults/read",
        "Microsoft.Resources/subscriptions/resourceGroups/delete",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Resources/subscriptions/resourcegroups/resources/read",
        "Microsoft.Resources/subscriptions/resourceGroups/write",
        "Microsoft.Authorization/roleDefinitions/write",
        "Microsoft.Authorization/roleAssignments/write",
        "Microsoft.MarketplaceOrdering/offertypes/publishers/offers/plans/agreements/read",
        "Microsoft.MarketplaceOrdering/offertypes/publishers/offers/plans/agreements/write",
        "Microsoft.Network/networkSecurityGroups/delete",
        "Microsoft.Storage/storageAccounts/delete",
        "Microsoft.Storage/storageAccounts/write",
        "Microsoft.Resources/deployments/write",
        "Microsoft.Resources/deployments/operationStatuses/read",
        "Microsoft.Authorization/roleAssignments/read"
    ],
    "NotActions": [],
    "AssignableScopes": [],
    "Description": "Azure SetupAsService",
    "IsCustom": "true"
}

  2. 將您的Azure訂閱ID新增至可指派的範圍、以修改Json。

    • 範例 *

    "AssignableScopes": [
"/subscriptions/d333af45-0d07-4154-943d-c25fbzzzzzzz"
],

  3. 使用 Json 檔案在 Azure 中建立自訂角色。

    下列步驟說明如何在Azure Cloud Shell中使用Bash建立角色。

    1. 開始 "Azure Cloud Shell" 並選擇Bash環境。

    2. 上傳Json檔案。

      Azure Cloud Shell的快照、您可在其中選擇上傳檔案的選項。

    3. 輸入下列Azure CLI命令:

      az role definition create --role-definition Policy_for_Setup_As_Service_Azure.json

    您現在應該擁有名為 Azure Setup AsService 的自訂角色。您現在可以將此自訂角色套用至您的使用者帳戶或服務主體。

步驟 3 :設定驗證

從 BlueXP 建立 Connector 時、您需要提供登入資訊、讓 BlueXP 能夠與 Azure 驗證並部署 VM 。您有兩種選擇:

  1. 收到提示時、請使用 Azure 帳戶登入。此帳戶必須具有特定的Azure權限。這是預設選項。

  2. 提供 Microsoft Entra 服務主體的詳細資料。此服務主體也需要特定權限。

請依照下列步驟準備其中一種驗證方法、以搭配 BlueXP 使用。

Azure 帳戶

將自訂角色指派給將從 BlueXP 部署 Connector 的使用者。

步驟

  1. 在 Azure 入口網站中、開啟 * 訂閱 * 服務、然後選取使用者的訂閱。

  2. 按一下 * 存取控制( IAM ) * 。

  3. 按一下「 * 新增 * > * 新增角色指派 * 」、然後新增權限:

    1. 選取「* Azure Setup AsService*」角色、然後按一下「* Next*」。

      註 Azure Setup AsService是Azure的Connector部署原則中提供的預設名稱。如果您為角色選擇不同的名稱、請改為選取該名稱。

    2. 保留*選取「使用者」、「群組」或「服務主體」*。

    3. 按一下*選取成員*、選擇您的使用者帳戶、然後按一下*選取*。

    4. 單擊 * 下一步 * 。

    5. 按一下「檢閱+指派」。

結果

Azure使用者現在擁有從BlueXP部署Connector所需的權限。

服務主體

您可以為 BlueXP 提供具有必要權限的 Azure 服務主體認證、而非使用 Azure 帳戶登入。

在 Microsoft Entra ID 中建立並設定服務主體、並取得 BlueXP 所需的 Azure 認證。

建立 Microsoft Entra 應用程式以進行角色型存取控制

  1. 確保您在 Azure 中擁有建立 Active Directory 應用程式及將應用程式指派給角色的權限。

    如需詳細資訊、請參閱 "Microsoft Azure 說明文件:必要權限"

  2. 從 Azure 入口網站開啟 * Microsoft Entra ID* 服務。

    顯示 Microsoft Azure 中的 Active Directory 服務。

  3. 在功能表中、選取 * 應用程式註冊 * 。

  4. 選取 * 新登錄 * 。

  5. 指定應用程式的詳細資料:

    • * 名稱 * :輸入應用程式的名稱。

    • 帳戶類型:選取帳戶類型(任何帳戶類型均可用於BlueXP)。

    • 重新導向URI:您可以將此欄位保留空白。

  6. 選擇*註冊*。

    您已建立 AD 應用程式和服務主體。

將自訂角色指派給應用程式

  1. 從 Azure 入口網站開啟 * 訂閱 * 服務。

  2. 選取訂閱。

  3. 按一下 * 存取控制( IAM ) > 新增 > 新增角色指派 * 。

  4. 在「角色」索引標籤中、選取「藍圖XP操作員」角色、然後按一下「下一步」。

  5. 在「成員」索引標籤中、完成下列步驟:

    1. 保留*選取「使用者」、「群組」或「服務主體」*。

    2. 按一下*選取成員*。

      Azure入口網站的快照、會在新增角色至應用程式時顯示「成員」索引標籤。

    3. 搜尋應用程式名稱。

      範例如下:

    Azure入口網站的快照、顯示Azure入口網站中的「新增角色指派」表單。

    1. 選取應用程式、然後按一下*選取*。

    2. 單擊 * 下一步 * 。

  6. 按一下「檢閱+指派」。

    服務主體現在擁有部署Connector所需的Azure權限。

    如果您想要在多個 Azure 訂閱中管理資源、則必須將服務主體繫結至每個訂閱。例如、 BlueXP 可讓您選取部署 Cloud Volumes ONTAP 時要使用的訂閱。

新增 Windows Azure Service Management API 權限

  1. 在 * Microsoft Entra ID* 服務中、選取 * 應用程式登錄 * 、然後選取應用程式。

  2. 選取 * API 權限 > 新增權限 * 。

  3. 在「 * Microsoft API* 」下、選取「 * Azure 服務管理 * 」。

    Azure 入口網站的快照、顯示 Azure 服務管理 API 權限。

  4. 選取 * 以組織使用者身分存取 Azure 服務管理 * 、然後選取 * 新增權限 * 。

    Azure 入口網站的快照、顯示新增 Azure 服務管理 API 。

取得應用程式的應用程式 ID 和目錄 ID

  1. 在 * Microsoft Entra ID* 服務中、選取 * 應用程式登錄 * 、然後選取應用程式。

  2. 複製 * 應用程式(用戶端) ID* 和 * 目錄(租戶) ID* 。

    螢幕擷取畫面、顯示 Microsoft Entra Idy 中應用程式的應用程式(用戶端) ID 和目錄(租戶) ID 。

    將Azure帳戶新增至BlueXP時、您必須提供應用程式的應用程式(用戶端)ID和目錄(租戶)ID。BlueXP使用ID以程式設計方式登入。

建立用戶端機密

  1. 開啟 * Microsoft Entra ID* 服務。

  2. 選取 * 應用程式註冊 * 、然後選取您的應用程式。

  3. 選取 * 「憑證與機密」 > 「新用戶端機密」 * 。

  4. 提供機密與持續時間的說明。

  5. 選取*「Add*」。

  6. 複製用戶端機密的值。

    Azure 入口網站的螢幕擷取畫面、顯示 Microsoft Entra 服務主體的用戶端機密。

    您現在擁有一個客戶機密、 BlueXP 可以使用它來驗證 Microsoft Entra ID 。

結果

您的服務主體現在已設定完成、您應該已經複製應用程式(用戶端) ID 、目錄(租戶) ID 、以及用戶端機密的值。建立Connector時、您必須在BlueXP中輸入此資訊。

步驟 4 :建立 Connector

直接從 BlueXP 網路型主控台建立 Connector 。

關於這項工作

  • 從 BlueXP 建立 Connector 會使用預設組態、在 Azure 中部署虛擬機器。建立 Connector 之後、不應變更為 CPU 或 RAM 較少的較小 VM 類型。 "瞭解連接器的預設組態"

  • 當 BlueXP 部署 Connector 時、它會建立自訂角色、並將其指派給 Connector VM 。此角色包含可讓 Connector 管理 Azure 資源的權限。您必須確保角色在後續版本中新增權限時保持在最新狀態。 "深入瞭解 Connector 的自訂角色"

開始之前

您應該擁有下列項目:

  • Azure 訂閱。

  • 您所選擇的 Azure 區域中的 Vnet 和子網路。

  • 若貴組織需要代理處理所有傳出的網際網路流量、請參閱Proxy伺服器的詳細資料:

    • IP 位址

    • 認證資料

    • HTTPS憑證

  • SSH 公開金鑰、如果您想要將該驗證方法用於 Connector 虛擬機器。驗證方法的另一個選項是使用密碼。

    "瞭解如何在 Azure 中連線至 Linux VM"

  • 如果您不想讓BlueXP自動為Connector建立Azure角色、則需要自行建立 "使用此頁面上的原則"

    這些權限適用於Connector執行個體本身。這是一組不同於您先前設定的權限、可用來部署 Connector VM 。

步驟

  1. 選取 * Connector * 下拉式清單、然後選取 * 新增 Connector * 。

    螢幕擷取畫面、會在標題和「新增連接器」動作中顯示「連接器」圖示。

  2. 選擇 * Microsoft Azure * 作為雲端供應商。

  3. 在*部署連接器*頁面上:

    1. 在 * 驗證 * 下、選取符合您設定 Azure 權限方式的驗證選項:

      • 選取 * Azure 使用者帳戶 * 以登入您的 Microsoft 帳戶、該帳戶應具有必要的權限。

        此表單由 Microsoft 擁有及託管。您的認證資料不會提供給 NetApp 。

      提示 如果您已經登入Azure帳戶、則BlueXP會自動使用該帳戶。如果您有多個帳戶、則可能需要先登出、以確保您使用的是正確的帳戶。

      • 選取 * Active Directory 服務主體 * 以輸入 Microsoft Entra 服務主體的相關資訊、以授予必要的權限:

        • 應用程式(用戶端)ID

        • 目錄(租戶)ID

        • 用戶端機密

    瞭解如何取得服務主體的這些值

  4. 依照精靈中的步驟建立連接器:

    • * VM 驗證 * :選擇 Azure 訂閱、位置、新資源群組或現有資源群組、然後為您正在建立的 Connector 虛擬機器選擇驗證方法。

      虛擬機器的驗證方法可以是密碼或 SSH 公開金鑰。

    "瞭解如何在 Azure 中連線至 Linux VM"

    • 詳細資料:輸入執行個體的名稱、指定標記、然後選擇是否要BlueXP建立具有所需權限的新角色、或是要選取所設定的現有角色 "必要的權限"

      請注意、您可以選擇與此角色相關的 Azure 訂閱。您選擇的每個訂閱都會提供 Connector 權限、以管理該訂閱中的資源(例如 Cloud Volumes ONTAP )。

    • * 網路 * :選擇 Vnet 和子網路、是否啟用公用 IP 位址、以及是否指定 Proxy 組態(選用)。

    • * 安全性群組 * :選擇是否要建立新的安全性群組、或是選擇允許所需輸入和輸出規則的現有安全性群組。

      "檢視 Azure 的安全性群組規則"

    • 審查:請檢閱您的選擇、確認您的設定正確無誤。

  5. 按一下「 * 新增 * 」。

    虛擬機器應在約 7 分鐘內就緒。您應該留在頁面上、直到程序完成為止。

結果

程序完成後、即可從 BlueXP 使用 Connector 。

如果您在建立 Connector 的同一個 Azure 訂閱中擁有 Azure Blob 儲存設備、則會在 BlueXP 畫布上自動顯示 Azure Blob 儲存設備工作環境。 "瞭解如何從 BlueXP 管理 Azure Blob 儲存設備"